《社会工程学攻击与防范培训ppt课件.pptx》由会员分享,可在线阅读,更多相关《社会工程学攻击与防范培训ppt课件.pptx(51页珍藏版)》请在三一办公上搜索。
1、本章内容提要,本章主要内容,11.1 社会工程攻击概述,只有两种事物是无穷尽的,宇宙和人类的愚蠢,但对于前者我不敢确定,11.1 社会工程攻击概述,1、社会工程学:社会工程学(Social Engineering)是关于建立理论通过自然的、社会的和制度上的途径并特别强调根据现实的双向计划和设计经验来一步一步地解决各种社会问题。,社会工程学利用人的粗心、轻信、疏忽、警惕性不高来操纵其执行预期的动作或泄漏机密信息的一门艺术与学问。,11.1 社会工程攻击概述,2、社会工程学不等同于欺骗、诈骗社会工程学攻击比较复杂,再小心的人也可能被高明的手段损害利益层次不一样,社会工程学攻击会根据实际情况,进行心
2、理战。目的不一样,社会工程学攻击其目的是获得信息系统的访问控制权,从而得到机密信息并从中获利。,11.2 社会工程攻击的形式,3、社会工程学攻击者:一般这类人具有很强的人际交往能力。他们有魅力、讲礼貌、讨人喜欢,并具有快速建立起可亲近、可信任感。,4、社会工程学攻击对象人计算机信息安全链中最薄弱的环节 人具有贪婪、自私、好奇、信任等心理弱点,11.1 社会工程攻击概述,系统、制度可能没有漏洞。信息安全的防范应该具有三个层次:物防、技防、人防。其中人防是不到位,则有可能成为最大的安全漏洞。尽管我们很聪明, 但对我们人类你、我、他的安全最严重的威胁,来自于我们彼此之间。,社会工程学攻击是信息安全的
3、最大威胁!,11.2 社会工程攻击的形式,1、信息收集:通过各种手段去获取机构、组织、公司的一些不敏感信息。不敏感信息容易获取 不敏感信息降低了攻击者的风险,11.2.1 信息收集,11.2 社会工程攻击的形式,2、不敏感信息:某些关键人物的资料:部门、职位、邮箱、手机号、座机分机号等 机构内部某些操作流程步骤:如报销流程、审批流程等机构内部的组织关系:隶属关系、业务往来、职权划分、强势还是弱势等机构内部常用的术语和行话,11.2.1 信息收集,11.2 社会工程攻击的形式,3、信息收集方法:官方网站搜索引擎离职员工或新员工垃圾分析电话询问(常常是面对前台或客服人员),11.2.1 信息收集,
4、11.2 社会工程攻击的手法,3、信息收集方法:官方网站搜索引擎微博、微信、QQ、FB、人人等等离职员工或新员工垃圾分析电话询问(常常是面对前台或客服人员),11.2.1 信息收集,11.2 社会工程攻击的形式,11.2.1 信息收集,4、信息收集案例 QQ聊天: 攻击者:你多大啊? 受害者:我84年的 攻击者:我也84的,我3月1号的,你呢? 受害者:那我比你大,我2月3号 得到受害者的生日信息:840203,11.2 社会工程攻击的手法,1、为什么要假冒身份哪个攻击者,愿意暴露自己真实身份呢?,11.2.2 假冒身份,2、假冒的效果获得信任、好感或同情树立权威性,你是骗子,11.2 社会工
5、程攻击的手法,3、假冒的方法选择一个合适的身份,秘书-秘书,同学-同学,新员工-新员工。前台-领导秘书外貌粉饰:磁性的嗓音、柔情的语言,仪表堂堂,气质非凡等,11.2.2 假冒身份,你是骗子,11.2 社会工程攻击的手法,4、假冒案例:利用第一代QQ密保骗取买狗人QQ控制权,11.2.2 假冒身份,Tdby :你好啊,是卖狗的吗 *狗场 :是的,你想买吗?Tdby :恩,我开了个场子,想买条狗看家,要个大点的。*狗场 :你要是买狗看家就要个凶点的。Tdby :狗大不就厉害吗 *狗场 :呵呵!不是,我这有个德国黑背,很凶狠,价格也很便宜。Tdby :多少钱 *狗场 :15000Tdby :能不能
6、便宜点,*狗场 :不能Tdby :便宜点 我是诚心买的。*狗场 :最便宜13000.Tdby :那好吧,那个网站上的电话是你的吗*狗场 :是的。Tdby :我们电话联系吧。*狗场 :恩,159306*。Tdby:知道了。然后我就用SKYPE网络电话给他打了过去,然后我们又商量商量价钱,最后我说,下午我就去取钱,取了钱再联系你。然后挂了电话。,闯荡 :你好啊*狗场 :恩,你好。闯荡 :刚才是不是有个人买狗啊。他的网名叫*狗场 :恩,你怎么知道?闯荡:呵呵,是我介绍他去的。我很喜欢狗,经常去你的网站看狗,那个人是我的个朋友,他问我哪有卖狗的。我就说你那卖。*狗场 :哦 ,谢谢你的观顾,喜欢狗那天我
7、送你条小的。闯荡 :真的吗 谢谢了。*狗场 :打7折。闯荡 :晕 狗还打折。闯荡 :该多少钱就多少钱,你也不容易。*狗场 :呵呵,是啊。都是有本的。闯荡 :你今年多大? *狗场 :24,你呢。闯荡 :我*。,闯荡 :哦,你结婚了吗*狗场 :没呢,你结了吗闯荡 :没呢,闯荡 :怎么还不结啊,该结了。*狗场 :呵呵,不着急。闯荡:你知道吗?香港出了一件大事。*狗场 :什么大事。闯荡 :香港最红的歌星黄家驹死了。*狗场:我晕,不是早就死了吗,都10多年了。你怎么才知道啊。闯荡 :哦 是吗,死了10多年啦。*狗场 :恩。,闯荡:我挺喜欢他的歌的。*狗场 :恩,还行。闯荡 :你最喜欢哪个歌星。*狗场 :
8、很多。闯荡 :那你最喜欢的呢。*狗场:最喜欢的就是谭咏麟吧,他的歌很好听。闯荡 ;哦是吗,我也挺爱听的。*狗场 :我有事,出去一下,下午聊。闯荡 :恩。正好他有事走了,说完就下了,我便跑网站上去改密码,他的问题是我的偶像是谁?我输入谭咏麟,点确定,晕不对,我又试着输入咏麟,OK,对了,但是邮件发了默认邮箱去了,我又改了一下,然后打开我邮箱,按照邮件上说的顺利改了密码,然后把问题改了,手机绑定也撤了,一个号就这样到手了.,11.2 社会工程攻击的形式,11.2.3 施加影响,1、博取好感通过外在特征的“光环效应”:以貌取人(如马云)、以名取人(如明星的人品)通过相似性:如同学、同乡、校友、经历等
9、,2、通过互惠原理骗取好处投桃报李:给予小恩惠,索取小回报拒绝-退让式:先A要求,再B要求,A远大于B,11.2 社会工程攻击的形式,11.2.3 施加影响,3、通过社会认同来施加影响快乐大本营等节目的笑声好评多的物品,一定好餐馆人多的,一定是好餐馆都喜欢和熟悉的人呆在一起,4、通过威权来施加压力专家、总裁秘书、某个官威胁、恐吓。,11.2 社会工程攻击的手法,5、施加影响案例:另类获取密码的方法,11.2.3 施加影响,渗透测试者:真的不错,我听说,有些公司也强制实施这样的策略,但员工可能会写下他们的口令,并把它放在某个地方,你们公司存在这样的问题吗? 受骗用户:哈哈哈是的,总是滋生这样的情
10、况我希望能蝣杜绝发生这样的事情我敢打赌我们的用户中有50上的用户会把口令写在他们办公桌的某个地方。,测试者:到目前为止,你为保护你的基础设施的安全采取的步骤给我留下了很深刻的印象。(拍马屁是打开更多信息大门的第一步,) 受骗用户:谢谢,在我们公司,我们把安全看得十分重要。渗透测试者:我已经感受到了。你们公司强制实施什么安全策略了吗?受骗用户:嗯,当然,我们制定了可接受的互联网 策略和口令策略,公司的所有员工在进入公司时都要签署这些策略。渗透测试者:很不错详细谈一谈,这很有意思。 受骗用户:嗯,例如,我们的口令策略要求所有用户的口令至少要八个字符长并且同时包含字母和数字。要求口令每三个月就要更换
11、一次口令。,11.2 社会工程攻击的手法,1、反向社会工程让被攻击者求助于攻击者破坏-发送广告-接受你的服务-安装后门,11.2.4 其他手法,2、密码心理学中文姓名拼音、常用数字(123456、1314、520)、生日。,11.2 社会工程攻击的手法,3、网络钓鱼(Phishing)是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。,11.2.4 其他手法,4、调虎离山例:押款车既定的路线设置了重重安防,如果让其被迫改道,则实施攻击就容易多了。如果你电脑上有机密资料,想要
12、获取的有心人可以临时叫你出去喝杯咖啡,另外的人就可以在其之上进行信息偷窃。,11.2 社会工程攻击的手法,5、下饵(Phishing)软件下载各种附件(邮件、QQ群里等)各种资源(如鸟国爱情动作片、XX行业或公司薪资实名大揭秘、黑客工具集合),11.2.4 其他手法,11.3 社会工程攻击的综合案例,1、概述某个聪明的猎头小黑需要搞到一家大公司研发部门的通讯录。为了达到目的,小黑决定采取一些社会工程学的技巧。,案例1 猎头获取通讯录,2、突破口前台、研发部秘书(被培训得乐于助人嘛),11.3 社会工程攻击的综合案例,3、步骤获取前台Email地址信息收集,前台邮箱地址是不敏感信息搞定研发秘书打
13、电话给研发部秘书(弄到电话不难吧),谎称自己是总裁秘书或别的什么有点威权的人,急需一份研发人员的清单,并发送给前台。(重点:假冒、威权、焦急、发前台)搞定前台打电话给前台、收邮件、打印传真到某个号码,案例1 猎头获取通讯录,前台:你好,哪位?小黑:我是总裁办的XXX秘书。前台:你有什么事情吗?小黑:我正陪同XX副总裁在某处开会,XX副总裁需要一份资料。我已经找人整理好了,等一下会发到你的邮箱。你收到之后,请帮忙传真到XXXXXXXX号码。前台:好的。还有其它事情吗?小黑:没有了,多谢!,11.3 社会工程攻击的综合案例,1、概述某商业间谍兼资深黑客小黑需要搞到某大公司内部的财务报表(可以卖大价
14、钱哦)。由于这个财务报表是很敏感的资料,只有财务部的少数主管才能看到这些报表。而财务部的主管,肯定都知道这些报表的重要性。所以,小黑再想用案例1的伎俩是行不通滴。,案例2 间谍搞到财务报表,2、突破口财务部主管小白的电脑、植入木马,11.3 社会工程攻击的综合案例,3、步骤1)准备阶段主要办三件事:首先,想办法搞到公司的通讯簿。通过案例1,大伙儿应该知道这个不难办到;然后,通过各种途径(具体的途径,请看之前的“信息收集”)了解该公司内部的一些情况(尤其是IT支持部和财务部的人员情况);最后,用化名去开通一个手机(有经验的攻击者肯定用假名,以免被抓)。,案例2 间谍搞到财务报表,11.3 社会工
15、程攻击的综合案例,3、步骤2)忽悠财务主管小白:搞到电话号码和IT部情况,打电话给财务主管小白。,案例2 间谍搞到财务报表,小白:你好,哪位?小黑:我是IT支持部的张三。你是财务部的主管小白吧?小白:对的。有啥事儿?小黑:最近几天,你们财务部的网络正常吗?有没有感觉网络时断时续的?小白:好像没有嘛。小黑:有几个其它的部门反映网络不正常,所以我来问问你们的情况。如果这几天你碰到网络异常,请打电话给我。我最近忙着处理电脑网络的故障,不经常在座位上。你可以打我的手机,号码是13901234567。,小白:好的,我记一下。小黑:另外,我想确认一下你电脑的网络端口号。小白:什么是“网络端口号”?小黑:你
16、先找到你电脑的网线,在网线插在墙上的地方应该贴个标签,那上面的写的号码就是你电脑的“网络端口号”。你把上面的号码告诉我。小白:等一下,我看一下.哦,看到了,上面写着“A1B2C3”。小黑:嗯,很好。我只是例行确认一下。祝你工作愉快。再见。,11.3 社会工程攻击的综合案例,3、步骤3)欺骗IT支持部:等23天,打电话给IT支持部的某工程师李四(管理路由器、交换机)。小黑谎称自己是新来的网络工程师小黑说自己正在财务办公室帮小白排查网络问题,请李四帮忙把网络端口号为“A1B2C3”的网络连接断开。(对李四而言,由于对方能准确说出小白的姓名以及小白电脑的网络端口号,所以李四就相信了他的话,并按照要求
17、把对应的网络连接断开。),案例2 间谍搞到财务报表,11.3 社会工程攻击的综合案例,3、步骤4)等待鱼儿上钩:打完这个电话之后,接下来小黑就稍息片刻,等着财务主管小白的电话。果然,不出几分钟,小白就打了他的手机。,案例2 间谍搞到财务报表,小黑:你好,我是IT支持部的张三。你是哪位?小白:我是财务部的小白主管。前几天你给我打过电话的,还记得吗?今天网络果然出问题了。所以打你电话找你帮忙。小黑:哦,是吗?那我帮你查一下,应该很快能搞定的。,大约十分钟之后,小黑重新打给IT支持部的李四,让他把端口号为“A1B2C3”的网络连接重新开通。,11.3 社会工程攻击的综合案例,3、步骤3)大功告成:网
18、络重新开通之后,小黑又打给小白。,案例2 间谍搞到财务报表,小白:你好,哪位?小黑:我是IT支持部的张三。刚才已经帮你把网络故障解决了。你现在试试看,网络应该通了。小白:我看一下,嗯,果然通了!太好了!太谢谢你了!小黑:不过,最近几天这个问题可能还会反复出现。小白:啊!那可咋办?我们财务部月底正忙着呢?可经不起这个折腾啊!小黑:办法倒是有一个,你需要安装一个网络模块的补丁,基本上就可以解决这个问题了。我等一下发到你邮箱中。你收到之后,把邮件附件中的程序安装一下就行了。小白:哦,好的。小黑:顺便提醒你一下,有些杀毒软件可能会把这个补丁误报为有害程序。你如果碰上这种情况,可以先把杀毒软件关闭,再重
19、新安装一次就可以了。小白:哦,我晓得了,谢谢。,然后,小黑就往小白的邮箱发了一个木马,并且把邮件的发件人地址伪装成IT支持部张三的地址,免得引起怀疑。对于小白而言,张三(冒充的)刚刚帮他解决了网络故障。所以小白根本不会怀疑此人的身份。自然也不会怀疑邮件有诈。,排排坐,看电影,保持安静Paipai sit, Watch movie and keep quiet!,美剧神探夏洛克3片段欣赏以下内容摘自网络,版权争议与本人无关。,近年大型数据泄露事件,去年国内数据泄露事件,去年国内数据泄露事件,我自己的一些数据,“人”的哪些弱点易被利用?,贪念,习惯,信任,思维定势,好奇,畏惧权威,一位公安局长在路
20、边同一位老人谈话,这时跑过来一位小孩,急促的对公安局长说:“你爸爸和我爸爸吵起来了!”老人问:“这孩子是你什么人?”公安局长说:“是我儿子。”请问:这两个吵架的人和公安局长什么关系?,习惯和思维定势,第一个答对的请我吃中饭,习惯和思维定势,密码习惯,帐号习惯,真实信息,代码习惯,其他,固定流程,同名帐号固定帐号,诈骗利用人肉搜索,银行卡消磁,流程漏洞(发利息),潜在漏洞潜在风险,简单密码统一密码,简单数字:123456 12345678 111111 000000 5201314 123123 1234567890 !#$% 888888简单组合:tylzb111 password qwert
21、y abc123 iloveyou 1q2w3e 1qaz2wsx 123asd qwer123生日年月:19881109 861208 1990812 021684姓名数字:hyj123 123456jin jhy841208 1971530rao kerrycyh77 zxdas001,常见密码类型,有中枪的建议还是换个密码,好奇心,诱人图片,热点新闻,各类视频,XX艳照,人体艺术,XX写真,游戏赌博,宅男女神,某官员,禽流感,马航.,某明星,时时博彩,游戏外挂,XX私服,真人真钱,实拍.,最新大片,国内禁播,搞笑视频,信任(轻信),权威网站,亲朋好友,其他,百度搜索,链接跳转,仿冒网址,
22、假冒认证,假装熟悉,虚假视频,久未联系,身处国外,网络兼职,办卡办证手枪、监听器材,二维码支付病毒APP,银行短信提醒,贪念,赠送,中奖,低价,官方礼包,免费赠品,退税,冒充客服,特价商品,特价机票,社工攻击的方法是什么?,社工攻击最重要的是“信息刺探”。信息刺探流程:1、充分获得已知或易获取信息;2、顺藤摸瓜,扩展信息;3、侦探伪装(并非必须);4、信息重组利用。,先看一段视频,看我们能获得什么,通过分析音频可以获得周鸿祎的手机号码,我们尝试搜索一位同事陈振航的QQ号、手机号、姓名等,再看看搜索引擎能告诉我们什么,可以获得以下信息:姓名:陈振航毕业院校:西安交大班级:电商71 班主任:乔志林
23、(还知道了他15位大学同学的QQ)爱好:DOTA 天梯号:纯洁西2012年7月 身处丽江曾用手机号:182888xxx502013年5月 身处浙江杭州,再看看“社工库”能告诉我们什么,再看看如何“顺藤摸瓜”,当我们知道了某个邮箱是h*,然后尝试找回密码,侦探伪装信息重组利用(此处略去158分钟),如何尽可能防范社工攻击?,心理上:1、破除权威枷锁、传统枷锁的束缚,不迷信权威和传统规律;2、预防指向性暗示,面对诱惑保持冷静;3、提高警惕性,增强安全防范意识。技术上:1、制定易被利用环节可能性预案,以便及早识别攻击;2、分割关键工作,使风险在某一环节无法延续;3、借助第三方工具减少风险。,预防“社工”的通俗做法,使用QQ浏览器、360浏览器等防范仿冒网站,进行安全培训,建立安全访问权限等级,定期修改密码使用不同密码,11.4 社会工程攻击的防范,1、组织机构普及教育:每个人、新员工、打扫清洁的阿姨。严格认证:某人到底是谁,防止假冒严格授权:某人到底能干啥,授权细化、最小化信息分类:分类、授权办公垃圾清理:碎纸机的使用、垃圾统一焚毁等文化:等级森严、一团和气都可能被利用,11.4 社会工程攻击的防范,2、个人多了解一些社会工程学的手法保持理性保持怀疑的心别乱丢垃圾,